none
Обновление сертификата CA Issued RRS feed

  • Вопрос

  • Добрый день, уважаемые коллеги.

    Конфигурация CA следущая

    1) Windows Server Enterprise 2003 R2 Root CA

    2) Windows Server Enterprise 2003 R2 Issued CA 

    Пришло время обновить Issued CA certificate на серере Windows Server Enterprise 2003 R2 Issued CA. Решил выполнить все опо науке как описано по ссылке

    http://technet.microsoft.com/en-us/library/cc776691(WS.10).aspx#BKMK_AVAIL

    У меня возникло несколько вопросов

    1) Имеются сертификаты которые подписаны текущем сертификатом Issued CA срок его заканчивается через 3 месяца. После обновления сертификата Issued CA будут ли функцианировать сертификаты которые подписаны им? (по идее да но не делал такого и хотел бы услышать мнение кто сталкивался с таким уже)

    2) Что случится с Issued CA после обновления? Создастся второй Issued CA или обновиться текущий?

     

    Заранее спасибо за информации!!!

     

    3 января 2011 г. 5:17

Ответы

  • > После обновления сертификата Issued CA будут ли функцианировать сертификаты которые подписаны им?

    да. Как только предыдущий сертификат истечёт, выданные им сертификаты станут просроченными тоже.

    > 2) Что случится с Issued CA после обновления? Создастся второй Issued CA или обновиться текущий?

    создастся новый. Вот, посмотрите: Root CA certificate renewal. Некоторые вещи там не будут относиться к вам, но общий принцип сохраняется.


    http://en-us.sysadmins.lv
    • Предложено в качестве ответа Vadims PodansMVP 3 января 2011 г. 11:41
    • Помечено в качестве ответа Yegor StartsevModerator 11 января 2011 г. 11:25
    3 января 2011 г. 8:23

Все ответы

  • > После обновления сертификата Issued CA будут ли функцианировать сертификаты которые подписаны им?

    да. Как только предыдущий сертификат истечёт, выданные им сертификаты станут просроченными тоже.

    > 2) Что случится с Issued CA после обновления? Создастся второй Issued CA или обновиться текущий?

    создастся новый. Вот, посмотрите: Root CA certificate renewal. Некоторые вещи там не будут относиться к вам, но общий принцип сохраняется.


    http://en-us.sysadmins.lv
    • Предложено в качестве ответа Vadims PodansMVP 3 января 2011 г. 11:41
    • Помечено в качестве ответа Yegor StartsevModerator 11 января 2011 г. 11:25
    3 января 2011 г. 8:23
  • > После обновления сертификата Issued CA будут ли функцианировать сертификаты которые подписаны им?

    да. Как только предыдущий сертификат истечёт, выданные им сертификаты станут просроченными тоже.

    > 2) Что случится с Issued CA после обновления? Создастся второй Issued CA или обновиться текущий?

    создастся новый. Вот, посмотрите: Root CA certificate renewal. Некоторые вещи там не будут относиться к вам, но общий принцип сохраняется.


    http://en-us.sysadmins.lv
    то есть теоретически проблем не должно быть создасться второй сертификат Issued CA у которого период до просрочевания ну например будет 01.05.2013 и клиеты смогут создавать новые сертификаты заверенные им правильно я понимаю Вас?
    3 января 2011 г. 8:49
  • да.


    http://en-us.sysadmins.lv
    3 января 2011 г. 10:49
  • > После обновления сертификата Issued CA будут ли функцианировать сертификаты которые подписаны им?

    да. Как только предыдущий сертификат истечёт, выданные им сертификаты станут просроченными тоже.

    > 2) Что случится с Issued CA после обновления? Создастся второй Issued CA или обновиться текущий?

    создастся новый. Вот, посмотрите: Root CA certificate renewal. Некоторые вещи там не будут относиться к вам, но общий принцип сохраняется.


    http://en-us.sysadmins.lv
    то есть теоретически проблем не должно быть создасться второй сертификат Issued CA у которого период до просрочевания ну например будет 01.05.2013 и клиеты смогут создавать новые сертификаты заверенные им правильно я понимаю Вас?


    Коллеги, подскажите на понимание.

    Есть текущий сертификат выдающего CA, он еще действителен до 12 года (середины). По нашей политике сертификаты выдающих CA необходимо обновлять заранее, что я и сделал, получил новый сертификат у вышестоящего CA без отмены старого.

    Теперь в свойсвах CA у меня 2 сертификата.#0 #1

    Проблема заключатся в том, что когда после этой процедуры я выписал пользователю новый сертификат CA подписал его

    сертификатом #0 ( условно старым) я бы хотел что бы вновь выданные сертификаты подписывались уже новым с большим сроком действия.

    как это сделать?


    MCP, MCSA2003
    11 ноября 2011 г. 11:20
  • дайте угадаю, вы обновляли сертификат CA с существующей ключевой парой?


    My weblog: http://en-us.sysadmins.lv
    PowerShell PKI Module: http://pspki.codeplex.com
    Windows PKI reference: on TechNet wiki
    14 ноября 2011 г. 19:25
  • дайте угадаю, вы обновляли сертификат CA с существующей ключевой парой?


    My weblog: http://en-us.sysadmins.lv
    PowerShell PKI Module: http://pspki.codeplex.com
    Windows PKI reference: on TechNet wiki

    Верно.

    и я даже написал об этом: "...получил новый сертификат у вышестоящего CA без отмены старого."


    MCP, MCSA2003

    15 ноября 2011 г. 6:01
  • тут вот еще что заметил...

    теперь в новых сертификатах путь к AIA не верный http://iss-ca-1.XXXX.lcl/CDP/XXX%20Issuer%20CA%202(1).crt

    на конце появилась цифра 1 в скобках (типа копия), а такого файла конечно нет, надо что бы новые сертификаты ссылались на старое имя без цифры.

    Где это поправить?


    MCP, MCSA2003
    15 ноября 2011 г. 13:18
  • отмена это, скорее всего, отзыв, а не то, о чём вы написали.

    > я выписал пользователю новый сертификат CA подписал его сертификатом #0 ( условно старым)

    не совсем так. Сертификаты подписываются закрытым ключом, а в сертификате находится только открытый. Поскольку у вас есть одна ключевая пара и 2 сертификата с общим открытым ключом, до истечения срока действия первого сертификата, certificate chaining engine может строить цепочки с использованием любого из двух сертификатов, у которых общий открытый ключ. Т.е. здесь космической проблемы нету. Как только первый сертификат истечёт по сроку, цепочка будет строиться только через новый сертификат CA.


    My weblog: http://en-us.sysadmins.lv
    PowerShell PKI Module: http://pspki.codeplex.com
    Windows PKI reference: on TechNet wiki
    15 ноября 2011 г. 15:54
  • отмена это, скорее всего, отзыв, а не то, о чём вы написали.

    > я выписал пользователю новый сертификат CA подписал его сертификатом #0 ( условно старым)

    не совсем так. Сертификаты подписываются закрытым ключом, а в сертификате находится только открытый. Поскольку у вас есть одна ключевая пара и 2 сертификата с общим открытым ключом, до истечения срока действия первого сертификата, certificate chaining engine может строить цепочки с использованием любого из двух сертификатов, у которых общий открытый ключ. Т.е. здесь космической проблемы нету. Как только первый сертификат истечёт по сроку, цепочка будет строиться только через новый сертификат CA.


    My weblog: http://en-us.sysadmins.lv
    PowerShell PKI Module: http://pspki.codeplex.com
    Windows PKI reference: on TechNet wiki


    Спасибо за пояснение. Это я понял

    А вот с этим как быть?

    ...теперь в новых сертификатах путь к AIA не верный http://iss-ca-1.XXXX.lcl/CDP/XXX%20Issuer%20CA%202(1).crt

    на конце появилась цифра 1 в скобках (типа копия), а такого файла конечно нет, надо что бы новые сертификаты ссылались на старое имя без цифры.


    MCP, MCSA2003
    15 ноября 2011 г. 18:50
  • просто возьмите новый сертификат CA, переименуйте в XXX Issuer CA 2(1).crt и положите в папку CDP на веб-сервере (или где у вас находится виртуальный каталог CDP). Циферка в скобках должна быть, здесь всё правильно.


    My weblog: http://en-us.sysadmins.lv
    PowerShell PKI Module: http://pspki.codeplex.com
    Windows PKI reference: on TechNet wiki
    15 ноября 2011 г. 19:23
  • просто возьмите новый сертификат CA, переименуйте в XXX Issuer CA 2(1).crt и положите в папку CDP на веб-сервере (или где у вас находится виртуальный каталог CDP). Циферка в скобках должна быть, здесь всё правильно.


    My weblog: http://en-us.sysadmins.lv
    PowerShell PKI Module: http://pspki.codeplex.com
    Windows PKI reference: on TechNet wiki


    ок это я сделаю.

    А как сертификат  с именем Issuer CA 2(1).crt опубликовать в AD?

    CDP LDAP://Issuer CA 2(1).crt тоже не ищется, что не есть правильно.


    MCP, MCSA2003
    15 ноября 2011 г. 19:46
  • > CDP LDAP://Issuer CA 2(1).crt тоже не ищется, что не есть правильно.

    очевидно, что CRT — это не CDP, а AIA. Я очень сильно допускаю, что у вас неверно настроены ссылки в расширениях CDP/AIA сервера CA.


    My weblog: http://en-us.sysadmins.lv
    PowerShell PKI Module: http://pspki.codeplex.com
    Windows PKI reference: on TechNet wiki
    15 ноября 2011 г. 20:35
  • > CDP LDAP://Issuer CA 2(1).crt тоже не ищется, что не есть правильно.

    очевидно, что CRT — это не CDP, а AIA. Я очень сильно допускаю, что у вас неверно настроены ссылки в расширениях CDP/AIA сервера CA.


    My weblog: http://en-us.sysadmins.lv
    PowerShell PKI Module: http://pspki.codeplex.com
    Windows PKI reference: on TechNet wiki

    Да согласен имел ввиду AIA.

    Оносительно не верных ссылок-я проверял сразу там настроено через переменные в формате:

    ldap:///CN=<CaName><CertificateName>,CN=AIA,CN=PublicKeyServices,CN=Services,<ConfigurationContainer><CAObjectClass>

    http://Iss-CA-1.XXX.lcl/CDP/<CaName><CertificateName>.crt

    так что проблем быть не должно.

    Может есть смысл удалить сертификат, который у меня "старый" #0?

     


    MCP, MCSA2003
    16 ноября 2011 г. 8:02
  • не надо. Пусть будет 2 сертификата в этой папке CDP.


    My weblog: http://en-us.sysadmins.lv
    PowerShell PKI Module: http://pspki.codeplex.com
    Windows PKI reference: on TechNet wiki
    16 ноября 2011 г. 8:38